すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAMユーザーに関するFAQ

    ドキュメントセンター

    Resource Access Management:RAMユーザーに関するFAQ

    最終更新日:Oct 30, 2024

    このトピックでは、Resource Access Management (RAM) ユーザーのログイン、課金、および権限に関するよくある質問に対する回答を提供します。

    RAMユーザーのログインURLとログイン名は何ですか?

    RAMユーザーは次のURLを使用してログオンできます。 RAMユーザーのログインURL

    説明

    または、Alibaba Cloudアカウントを使用してRAMコンソールにログインし、[概要] ページでRAMユーザーのログインURLを見つけます。 [概要] ページのURLを使用してログインページにアクセスすると、システムは自動的にデフォルトのドメイン名を提供します。 この方法では、ユーザー名のみを入力する必要があります。

    次のいずれかのログイン名を使用して、RAMユーザーとしてコンソールにログインできます。

    • ログオン名1: デフォルトのドメイン名。 RAMユーザーのログオン名の形式は、 <UserName >@< AccountAlia s>.onaliyun.comです。 例:username@company-alias.onaliyun.com

      説明

      RAMユーザーのログイン名は、ユーザープリンシパル名 (UPN) 形式です。 RAMコンソールに表示されるすべてのログオン名は、この形式に従います。 <UserName> は、RAMユーザーのユーザー名を示します。 <AccountAlia s>.onaliyun.comはデフォルトのドメイン名を示します。 詳細については、「Terms」および「デフォルトドメイン名の管理」をご参照ください。

    • ログオン名2: アカウントエイリアス。 RAMユーザーのログオン名の形式は、<username >@< AccountAlias> です。例:UserName @ company-alias

      説明

      <UserName> は、RAMユーザーのユーザー名を示します。 <AccountAlias> はアカウントのエイリアスを示します。 詳細については、「Terms」および「デフォルトドメイン名の管理」をご参照ください。

    • ログオン名3: ドメインエイリアス。 ドメインエイリアスを設定した場合は、このログイン名を使用できます。 RAMユーザーのログイン名の形式は、<UserName >@< DomainAlias> です。例:username@example.com

      説明

      <UserName> は、RAMユーザーのユーザー名を示します。 <DomainAlias> はドメインエイリアスを示します。 詳細については、「規約」および「ドメインエイリアスの作成」をご参照ください。

    デフォルトのドメイン名とドメインエイリアスは何ですか?

    デフォルトのドメイン名は、Alibaba Cloudアカウントの一意の識別子です。 Alibaba Cloudは、各Alibaba Cloudアカウントにデフォルトのドメイン名を割り当てます。 デフォルトドメイン名の形式は <AccountAlia s>.onaliyun.comです。 この一意の識別子は、RAMユーザーのおよびシングルサインオン (SSO)へのログインに使用できます。 デフォルトドメイン名を管理する方法の詳細については、「デフォルトドメイン名の管理」をご参照ください。

    パブリックに解決可能なカスタムドメイン名がある場合は、このドメイン名を使用してデフォルトのドメイン名を置き換えることができます。 このカスタムドメイン名は、ドメインエイリアスと呼ばれます。 ドメインエイリアスは、デフォルトドメイン名のエイリアスです。 詳細については、「ドメインエイリアスの作成」をご参照ください。

    説明

    カスタムドメインは、カスタムドメインの所有権が検証された後にのみ、ドメインエイリアスとして使用できます。 所有権が検証された後、デフォルトドメイン名が必要なすべてのシナリオで、ドメインエイリアスを使用してデフォルトドメイン名を置き換えることができます。

    RAMユーザーがAlibaba Cloudリソースを購入するにはどのような権限が必要ですか?

    • RAMユーザーが従量課金制でAlibaba Cloudサービスを購入する場合、インスタンスまたはリソースを作成する権限が必要です。

    • RAMユーザーがAlibaba Cloudリソースをサブスクリプションベースで購入する場合、インスタンスを作成する権限と支払いを行う権限の両方が必要です。 支払い権限を付与するには、RAMユーザーにAliyunBSSOrderAccessポリシーをアタッチする必要があります。

    • RAMユーザーがリソースを購入した場合、RAMユーザーは他のリソースを使用または作成する必要があります。 この場合、リソースの読み取りまたは作成には権限が必要です。

      次の例は、Elastic Compute Service (ECS) インスタンスの作成に必要な権限を含むポリシーです。

      次のポリシーがRAMユーザーにアタッチされている場合、RAMユーザーは起動テンプレートからECSインスタンスを作成できます。 

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:CreateInstance",
                "ecs:RunInstances",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      RAMユーザーがECSインスタンスを作成するときにRAMユーザーが他のリソースを使用または作成する場合は、特定の権限が必要です。 次の表に、他のリソースに対する操作と必要なポリシーを示します。

      API 操作

      ポリシー

      スナップショットを使用したECSインスタンスの作成

      ecs:DescribeSnapshots

      VPCの作成と使用

      • vpc:CreateVpc

      • vpc:CreateVSwitch

      セキュリティグループの作成と使用

      • ecs:CreateSecurityGroup

      • ecs:AuthorizeSecurityGroup

      ECSインスタンスへのRAMロールの割り当て

      • ecs:DescribeInstanceRamRole

      • ram:ListRoles

      • ram:PassRole

      AccessKeyペアの使用

      • ecs:CreateKeyPair

      • ecs:DescribeKeyPairs

      専用ホストでのECSインスタンスの作成

      ecs:AllocateDedicatedHosts

      説明

    RAMユーザーに必要な権限が付与された後、RAMユーザーがリソースにアクセスできないのはなぜですか?

    • 権限診断をサポートするクラウドサービスの場合、権限の問題の原因と解決策を直接表示できます。 詳細については、「アクセス拒否エラーをトラブルシューティングするにはどうすればよいですか?」をご参照ください。

    • 権限診断をサポートしていないクラウドサービスについては、次の表を参照して問題の原因を特定し、問題のトラブルシューティングを行うことができます。

      原因

      解決策

      ポリシーが無効です。

      RAMユーザーにアタッチされているポリシーを確認し、ポリシーが有効であり、ビジネス要件を満たしていることを確認します。

      Denyステートメントは、カスタムポリシーで構成されます。

      RAMユーザーにアタッチされているポリシーとRAMユーザーのRAMユーザーグループにアタッチされているポリシーで、"Effect": "Deny" が関連リソースへのアクセスを拒否するか、関連操作を禁止するように設定されているかどうかを確認します。 たとえば、RAMユーザーがECSインスタンスに対する読み取り専用権限AliyunECSReadOnlyAccessを持っているが、次のポリシーもRAMユーザーにアタッチされている場合、DenyステートメントがAllowステートメントよりも優先されるため、RAMユーザーはECSインスタンスを表示できません。 

      {
    "Statement": [{
        "Action": "ecs:*",
        "Effect": "Deny",
        "Resource": "*"
    }],
    "Version": "1"
}

      リソースは関連する認証方法をサポートしていません。

      認証方法は、クラウドサービスによって異なります。 リソースに対してサポートされている認証方式が使用されているか確認してください。

      • RAMベースの認証をサポートするサービスを取得するには、「RAMを使用するサービス」をご参照ください。

      • リソースグループベースの認証をサポートするサービスを取得するには、「リソースグループで動作するサービス」をご参照ください。

      • タグベースの認証をサポートするサービスを取得するには、[リソース管理コンソール] にログインし、左側のナビゲーションウィンドウで [タグ]> [タグ] を選択し、[リソースタグ付け機能] タブをクリックして、[タグラムサポート] の値が [サポート] であるリソースタイプを見つけます。

      リソースディレクトリのアクセス制御ポリシーは、リソースへのアクセスを拒否します。

      RAMユーザーが属するAlibaba Cloudアカウントがリソースディレクトリのメンバーであり、リソースへのアクセスを拒否するアクセス制御ポリシーがリソースディレクトリに設定されている場合、RAMユーザーはリソースにアクセスできません。 制御ポリシーを変更またはデタッチするには、リソースディレクトリの管理アカウントの所有者に連絡する必要があります。

      1. メンバーが属するリソースディレクトリの管理アカウントを見つけます。

        詳細については、「メンバーが属するリソースディレクトリに関する情報の表示」をご参照ください。

      2. 管理アカウントの所有者に連絡して、制御ポリシーを変更またはデタッチしてください。

        詳細については、「カスタムアクセス制御ポリシーの変更」または「カスタムアクセス制御ポリシーのデタッチ」をご参照ください。

    RAMユーザーが必要な権限なしでリソースに対して操作を実行できるのはなぜですか?

    たとえば、RAMユーザーは、AliyunECSFullAccessシステムポリシー、AliyunECSReadOnlyAccessシステムポリシー、または関連するカスタムポリシーがRAMユーザーにアタッチされていない場合でも、ECSインスタンスを表示できます。

    • RAMユーザーが追加されたRAMユーザーグループにポリシーがアタッチされているかどうかを確認します。

    • RAMユーザーにアタッチされている他のポリシーに必要な権限があるかどうかを確認します。

      たとえば、AliyunCloudMonitorFullAccessシステムポリシーは、CloudMonitorへのフルアクセスを示します。 このポリシーには、"ecs:DescribeInstances""rds:DescribeDBInstances" 、および "slb:DescribeLoadBalancer" の権限が含まれています。 AliyunCloudMonitorFullAccessポリシーがRAMユーザーにアタッチされている場合、RAMユーザーはECS、ApsaraDB RDS、およびServer Load Balancer (SLB) インスタンスに関する情報を表示できます。

    RAMユーザーに更新を管理する権限を付与するにはどうすればよいですか?

    特定のクラウドサービスの更新を管理するカスタムポリシーを作成し、そのポリシーをRAMユーザーにアタッチする必要があります。 すべてのクラウドサービスの更新管理ポリシーは存在しません。 RAMユーザーが更新を管理するには、特定のサービスを購入して支払いを行う権限が必要です。

    たとえば、RAMユーザーにECSインスタンスを更新する権限を付与するには、次のカスタムポリシーとAliyunBSSOrderAccessシステムポリシーをRAMユーザーにアタッチする必要があります。 

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:RenewInstance",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    RAMユーザーは消費されたリソースに対してどのように課金されますか?

    • RAMユーザーが請求する料金は、親Alibaba Cloudアカウントに請求されます。

    • デフォルトでは、RAMユーザーは親Alibaba Cloudアカウントに適用される割引を使用できます。

    • 消費予算、与信限度額、支払い方法などの財務設定は、Alibaba Cloudアカウントに属するすべてのRAMユーザーに適用されます。 単一のRAMユーザーに適用される財務設定は使用できません。

    • RAMユーザーは、親Alibaba Cloudアカウントに資金を追加する権限を与えられます。 追加された資金はAlibaba Cloudアカウントに属します。

    • RAMユーザーとRAMユーザーグループは個別に課金されません。

    RAMで権限を付与しましたが、権限がクラウドサービスにすぐには有効になりません。 これはなぜですか?

    RAMは、高可用性を実現するために複数のリージョンとゾーンにデプロイされます。 RAMは異なるリージョン間でデータをコピーし、最終的な整合性モデルを使用します。 RAMで権限を付与すると、RAMはすべてのAlibaba Cloudリージョンおよびゾーンに権限データを配信します。 これにより、すべてのクラウドサービスが情報を認証に使用できます。 リージョンまたはゾーンで障害が発生した場合、RAMは高可用性ディザスタリカバリメカニズムに基づいて使用可能なリージョンまたはゾーンに切り替えます。

    RAMが権限データを配信した後、権限が有効になるまでに時間がかかります。 したがって、権限を付与または変更する場合は、権限がクラウドサービスで有効になるまでしばらく待つ必要があります。

    RAMは、許可データの最終的な一貫性を保証します。